熱門(mén)關鍵詞: 信息安全 雲計算(suàn) 弱電(diàn)工(gōng)程 機(jī)房建設 IT基礎架構
日期:2020-05-22 閱讀(dú)數:1419
愈演愈烈的勒索病毒
這是勒索病毒肆虐的時代,無數勒索病毒的變種滋生(shēng)而起。民(mín)衆和政企深受勒索病毒的侵擾,苦不堪言。 一(yī)方面,勒索病毒攻擊有增無減。利用勒索病毒的成本非常低(dī),在暗(àn)網等黑(hēi)市(shì)僅需幾千元就(jiù)可以購買一(yī)個(gè)未知的勒索病毒,而一(yī)次成功的勒索就(jiù)可以得到(dào)十幾倍到(dào)上(shàng)百倍的利潤,這讓不少遊走在法律之外的狂徒趨之若鹜。另一(yī)方面,勒索病毒難防。傳統以靜(jìng)态特征防禦為(wèi)主的保護方式無法應對各式各樣的勒索病毒變種,且不少勒索病毒具備蠕蟲性質,能(néng)夠在網絡中快速傳播擴散,防範難度增大。 勒索病毒實用對抗指南(nán) 那麽,面對勒索病毒的威脅,應該怎麽做? 從(cóng)攻擊者的角度來看(kàn),無論發起多(duō)麽複雜(zá)的勒索攻擊,在網絡中經曆多(duō)少環節,采用多(duō)少高(gāo)級技(jì)術(shù),這些攻擊動作必須通(tōng)過某一(yī)個(gè)或多(duō)個(gè)終端才能(néng)完成。因此,勒索病毒應對離不開(kāi)對終端的安全防護: 1.及時明确終端安全基線,實現主機(jī)安全加固; 2.及時對終端間的訪問關系進行梳理,實現終端間細粒度訪問控制; 3.及時選用具備未知威脅防護的終端安全産品,實現對于勒索病毒頻繁變種的有效防護; 4.及時對内網各類型資産進行全面防護,實現對于勒索病毒入侵的全面防範; 5.及時具備内網終端的應急隔離機(jī)制,實現将已感染主機(jī)迅速采取隔離措施防止病毒擴散蔓延; 6.及時對終端進行漏洞掃描并更新安全補丁,防止勒索病毒實現漏洞傳播。 深信服EDR,主動防禦無懼勒索 深信服服在對國(guó)内用戶進行了大量調研與洞察之後,推出了基于适應國(guó)内終端網絡安全現狀的下(xià)一(yī)代終端安全産品深信服EDR。值得注意的是,該産品不同于傳統殺毒産品及國(guó)外所定義的狹義EDR産品,而是圍繞用戶終端資産安全生(shēng)命周期,通(tōng)過預防、防禦、檢測、響應賦予終端更為(wèi)細緻的隔離策略、更為(wèi)精準的查殺能(néng)力、更為(wèi)持續的檢測能(néng)力、更為(wèi)快速的處置能(néng)力。在應對高(gāo)級威脅的同時,通(tōng)過雲網端聯動協同、威脅情報(bào)共享、多(duō)層級響應機(jī)制,幫助用戶快速處置終端安全問題,幫助用戶構建輕量級、智能(néng)化、響應快的下(xià)一(yī)代終端安全系統。 ▲深信服EDR 值得一(yī)提的是,作為(wèi)目前熱點威脅的勒索病毒,傳統的被動防禦往往無法有效阻止勒索加密進程。而應用于EDR的主動防禦模式,不同于被動防禦,可在勒索病毒入侵行為(wèi)對信息系統發生(shēng)影響的初期甚至之前,能(néng)夠及時精準預警,實時構建彈性防禦體系,避免、轉移、降低(dī)信息系統面臨的風險。 1. 基于AI的多(duō)維度智能(néng)檢測機(jī)制 在終端對所有文件(jiàn)行為(wèi)進行監控,在關鍵的訪問時機(jī)觸發文件(jiàn)檢測,當發現是勒索病毒文件(jiàn)時,即進行阻斷并清除。 基于文件(jiàn)的檢測,深信服EDR構建了一(yī)個(gè)多(duō)維度、輕量級的漏鬥型檢測框架,包含文件(jiàn)信譽檢測引擎、基因特征檢測引擎、基于AI 技(jì)術(shù)的SAVE安全智能(néng)檢測引擎、行為(wèi)引擎、雲查引擎等。通(tōng)過層層過濾,檢測更準确、更高(gāo)效,資源占用消耗更低(dī)。 ▲多(duō)維度漏鬥型檢測框架 其中,強力打造基于AI的SAVE安全智能(néng)檢測引擎,作為(wèi)已知和未知勒索病毒的克星,具體的能(néng)力包括: (1) 基于人工(gōng)智能(néng)技(jì)術(shù),擁有強大的泛化能(néng)力,能(néng)夠識别未知病毒或者已知病毒的新變種。 (2)對勒索病毒檢測效果達到(dào)業(yè)界領先,包括影響廣泛的 WannaCry、BadRabbit、GandCrab、Globelmposter等勒索病毒家族,SAVE可以全部檢出和查殺。 ▲輕量級人工(gōng)智能(néng)檢測引擎SAVE 2. 基于勒索病毒攻擊鏈的主動防禦 安全基線檢查及修複 定期對終端進行身份鑒别、訪問控制、入侵防範、惡意代碼防範等策略進行合規性審查,提供修複或修複建議,從(cóng)而實現主機(jī)加固,做好安全防範,防止暴力破解等方式被勒索病毒所入侵。 ▲基線檢查 防爆破檢測和防禦 終端上(shàng)持續監控密碼爆破行為(wèi),發現爆破行為(wèi),可以設置對特定IP 進行一(yī)段時間的自(zì)動封停,避免終端被爆破成功,從(cóng)而阻止勒索病毒的入侵或傳播。 微隔離與降低(dī)威脅影響面 通(tōng)過對不同終端的精細化安全隔離,實現對不同部門(mén)間,不同角色間,不同業(yè)務系統間的安全域進行完善的安全隔離與細粒度的訪問控制。 ▲微隔離 勒索誘捕方案 裝載在終端系統上(shàng)的EDR客戶端,在系統關鍵目錄及随機(jī)目錄放(fàng)置誘餌文件(jiàn),當勒索病毒調用加密進程對終端文件(jiàn)加密,當加密到(dào)誘餌文件(jiàn)時,誘餌文件(jiàn)将加密進程反饋至EDR客戶端,EDR客戶端立即殺掉加密進程阻止加密,并根據調用進程的病毒源文件(jiàn)進行查殺。 ▲勒索誘捕方案 3. 對用戶信息資産的全面保護 任一(yī)終端若無有效的保護措施,均有可能(néng)成為(wèi)整體網絡安全短闆,作為(wèi)突破口對全網終端造成嚴重的安全威脅。 深信服EDR可有效保護桌面雲,傳統PC,筆記本,私有雲,服務器(qì),私有雲,公有雲等各類型終端,并且終端系統兼容性廣闊,适配包括Windows,CentOS,Ubuntu,redhat,SuSE,Debian,國(guó)産化操作系統等等,雲環境下(xià)與底層虛拟化解耦,适配全部虛拟化底層平台。 ▲深信服EDR适配全類型資産 當您的終端出現勒索病毒或其他安全威脅時,可以聯系我們幫助您解決當前終端安全問題,讓下(xià)一(yī)代終端安全EDR為(wèi)您的業(yè)務保駕護航!
上(shàng)一(yī)篇:深信服入圍Gartner廣域網優化魔力象限
下(xià)一(yī)篇:幹貨分享 | 雲等保合規建設探索